EuGH-Entscheidung(en) vom 5.12.2023, Rechtssachen C-683/21 und C-807/21
Sachverhalt:
Der EuGH hatte in zwei Fällen zu entscheiden, welche Möglichkeiten nationalen Aufsichtsbehörden zukommen, um Verstöße gegen die DSGVO (durch Verhängung von Geldbußen) zu ahnden.
Im ersten Fall wehrte sich ein deutsches Immobilienunternehmen, das rund 163 000 Wohneinheiten und 3 000 Gewerbeeinheiten hält, gegen eine Geldbuße von über EUR 14 Millionen. Das Unternehmen hatte personenbezogene Daten von Mietern länger als erforderlich gespeichert.
Im zweiten Fall wehrte sich das litauische Nationale Zentrum für öffentliche Gesundheit gegen eine Geldbuße in Höhe von EUR 12.000. Im Zusammenhang mit der Entwicklung einer mobilen Anwendung zur Erfassung und Überwachung von Covid-19-Daten seien personenbezogene Daten erhoben worden.
Entscheidung:
Der EuGH entschied, dass grundsätzlich nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn der Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Handelte es sich beim Verantwortlichen um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von einem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Eine juristische Person haftet sowohl für Verstöße ihrer Vertreter, Leitungspersonen oder Geschäftsführer, als auch für Verstöße von jeder sonstigen Person, die im Rahmen ihrer unternehmerischen Tätigkeit im Namen der juristischen Person handelt.
Für die Verhängung einer Geldbuße gegen eine juristische Person ist es nicht Voraussetzung, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde. Auch Verarbeitungsvorgänge von Auftragsverarbeitern sind umfasst, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.
Die Einstufung als „gemeinsam Verantwortliche“ bei zwei oder mehr involvierten Einrichtungen setzt keine förmliche Vereinbarung voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichen aus. Tatsächlich gemeinsam Verantwortliche müssen in einer Vereinbarung ihre jeweiligen Pflichten festlegen.
Im Hinblick auf den Höchstbetrag einer möglichen Geldbuße wies der EuGH darauf hin, dass dieser auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen ist, den das Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat. Gehört der Adressat der Geldbuße etwa zu einem Konzern, ist bei der Berechnung der Geldbuße auf den (Jahres-)Umsatz des Konzerns abzustellen.
Link zur Entscheidung zu C-683/21
Link zur Entscheidung zu C-807/21
Link zur Pressemitteilung des EuGH
Weitere Blog-Beiträge zum Thema DSGVO:
DSGVO-Schadenersatz für Schulwart, der irrtümlich in Lehrerbewertungs-App aufgenommen wurde.